Vulnerabilidade Cross-Plataforma no Flash

Uma das principais verdades sobre segurança da informação é que ela está sempre mudando. Os ataques de hoje não são os mesmos de ontem, e serão totalmente diferentes amanhã. Na Internet nós tivemos a época dos vírus de macro (1990s), depois os virus de e-mail como o Melissa (1999), worms como o Code Red (2001) e Blaster (2003), e então páginas Web maliciosas explorando vulnerabilidades em browsers como o Mpack (2007).

Cada uma destas ameaças foi superada com o desenvolvimento de defesas que, se não eliminaram totalmente as vulnerabilidades que permitiam estes ataques, pelo menos tornaram-os difícil o suficiente para fazer com que os atacantes mudassem de tática. Por exemplo, mudanças no Office que exigiam a assinatura digital das macros acabaram com este tipo de vírus. O bloqueio de anexos executáveis no Outlook e Outlook Express eliminou vírus como o Melissa. O Windows Firewall habilitado por default ajudou a diminuir a ameaça de worms como o Blaster.

Provavelmente é cedo para dizer que melhorias nas práticas de desenvolvimento do IE e do Firefox irão diminuir o número de páginas Web explorando vulnerabilidades nestes browsers. Exploits para ambos os browsers continuam aparecendo e eles ainda são alvos muito tentadores para atacantes. Mas nós estamos vendo cada vez mais sinais de que os alvos dos ataques estão mudando para outros softwares, tão ou mais populares que estes browsers, que ainda não tinham sofrido um escrutínio tão grande e assim são uma fonte relativamente inexplorada e fértil de bugs de segurança. Colabora ainda o fato destes softwares terem mecanismos de atualização ainda primitivos, ou em alguns casos simplesmente nenhum tipo de atualização.

Por exemplo, o MPack já utilizava entre o seu arsenal de exploits uma vulnerabilidade do WinZip. Recentemente, no desafio "Pwn to Own" onde prêmios em dinheiro eram pagos para quem conseguisse invadir alguns sistemas, um laptop com Windows Vista foi comprometido usando uma vulnerabilidade não no Windows ou no IE, mas no Adobe Flash.

Agora uma nova vulnerabilidade potencialmente devastadora foi descoberta no Flash, e assim como a outra com a capacidade de comprometer sistemas com rodando qualquer sistema operacional, contanto que tenham o Flash instalado. Com a "vantagem" adicional que no Windows exatamente o mesmo exploit pode ser usado tanto para IE quanto para Firefox - os dois usam o mesmo endereço base e um único exploit funcionaria em ambos os navegadores.

Esta vulnerabilidade foi descoberta por Mark Dowd da IBM (enquanto uma parte da IBM fala bobagem sobre documentos XML, outra faz pesquisa de segurança de alta qualidade), que descreveu o ataque em detalhes em um paper excepcional. O paper ainda descreve como o ataque ultrapassa a proteção do ASLR no Vista - a Adobe não compilou o Flash com ASLR! Obrigado Adobe.

A lição para o futuro é que a segurança de um sistema não depende só do sistema operacional e do navegador, e sim na verdade de todas as aplicações instaladas no sistema. Organizações e indivíduos devem avaliar a segurança de cada software antes de fazer a instalação, e se assegurar que o seu processo de gerência de patches contempla todos estes softwares. Um ponto que o Augusto já tinha levantado por sinal, mas que diante deste novo bug vale a pena reforçar.